CVE-2025-9575

چکیده

آسیب‌پذیری تزریق فرمان سیستم‌عامل (OS Command Injection) در چندین مدل روترLinksys شامل RE6250، RE6300، RE6350، RE6500، RE7000 و RE9000 شناسایی شده است. این ضعف در فایل /cgi-bin/upload.cgiو در تابع cgiMain آن قرار دارد. مهاجم احراز هویت شده با دستکاری پارامتر filename در درخواست‌های HTTP POST، مهاجم می‌تواند دستورات دلخواه سیستم را از راه دور اجرا کند.

توضیحات

آسیب‌پذیری CVE-2025-9575 در چندین مدل روتر Linksys از نوع تزریق فرمان سیستم‌عامل (OS Command Injection) مطابق با CWE‑78 و CWE‑77 است. این ضعف در فایل /cgi-bin/upload.cgi و در تابع cgiMain قرار دارد که مسئول پردازش درخواست‌های آپلود فایل است. پارامتر filename که از کلاینت دریافت می‌شود، بدون هیچ‌گونه فیلتر، اعتبارسنجی یا محدودیت در ورودی، مستقیماً در فراخوانی‌های داخلی سیستم استفاده می‌شود. همین موضوع امکان تزریق و اجرای دستورات دلخواه سیستم‌عامل را فراهم می‌کند.

مهاجم پس از احراز هویت با دسترسی پایین (مانند حساب کاربری استاندارد) می‌تواند یک درخواست HTTP POST به مسیر /cgi-bin/upload.cgi ارسال کند و مقدار پارامتر filename را با دستورات سیستم‌عامل (مانند اجرای telnetd، ایجاد فایل، اجرای شل یا دستورات BusyBox) جایگزین کند. پس از ارسال این ورودی مخرب، دستگاه بدون بررسی، دستور تزریق‌شده را اجرا کرده و در نتیجه اجرای کد از راه دور (RCE) کامل حاصل می‌شود.

این آسیب‌پذیری کاملاً از راه دور و بدون نیاز به تعامل کاربر انجام است. پیامدهای آن شامل نقض محرمانگی با دسترسی مهاجم به دستورات و اطلاعات داخلی، یکپارچگی با امکان دستکاری فایل‌ها و تنظیمات و در دسترس‌پذیری با اجرای فرآیندهای غیرمجاز یا فعال‌سازی سرویس‌های مخرب مانند telnetd است. فرآیند بهره‌برداری از این ضعف به‌سادگی قابل خودکارسازی است. مهاجم می‌تواند با ابزارهایی مانند curl، Burp Suite یا اسکریپت‌های ساده Python، درخواست POST حاوی یک پارامتر filename مخرب ارسال کند. کد اثبات مفهومی (PoC) عمومی موجود نشان می‌دهند که با تنظیم filename روی دستوراتی مانند busybox telnetd -l /bin/sh -p 2238 روتر بلافاصله سرویس telnetd را اجرا کرده و یک شل از راه دور در اختیار مهاجم قرار می‌دهد. این PoC به طور عمومی منتشر شده و قابلیت بهره‌برداری را تسهیل می‌کند.

تاکنون شرکت Linksys پچ یا به‌روزرسانی امنیتی برای رفع این ضعف منتشر نکرده است و روترهای ذکر شده همچنان در برابر سوءاستفاده آسیب‌پذیر هستند.

CVSS

لیست محصولات آسیب پذیر

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Linksys router را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت متوسط امکان تزریق فرمان سیستم‌عامل و اجرای کد دلخواه از راه دور را در چندین مدل روتر Linksys فراهم می‌کند. با توجه به عدم انتشار پچ رسمی و وجود PoC عمومی، اجرای فوری اقدامات زیر برای کاهش ریسک ضروری است:

• بررسی و جایگزینی فریم‌ور: وب‌سایت Linksys را به‌صورت منظم برای دریافت به‌روزرسانی امنیتی بررسی کنید. در صورت عدم انتشار پچ، استفاده از مدل‌های جایگزین با پشتیبانی امنیتی فعال توصیه می‌شود.
• غیرفعال کردن دسترسی از راه دور (Remote Management): فوراً هرگونه دسترسی به پنل مدیریتی از طریق اینترنت (WAN) را غیرفعال کنید و فقط اجازه مدیریت دستگاه از شبکه داخلی LAN را بدهید.
• تقویت امنیت حساب‌ها: رمزهای پیش‌فرض یا ضعیف را تغییر داده و از رمزهای قوی و طولانی استفاده کنید تا احتمال سوءاستفاده مهاجمان احراز هویت‌شده کاهش یابد.
• محدودسازی مسیر آسیب‌پذیر: تا زمان انتشار پچ، دسترسی به مسیر /cgi-bin/upload.cgiرا از طریق فایروال داخلی یا روتر اصلی مسدود کنید
• ایزوله‌سازی روتر: دستگاه را پشت یک روتر اصلی یا فایروال سخت‌افزاری قرار دهید و از NAT یا VLAN برای جلوگیری از دسترسی مستقیم اینترنت به پورت‌های HTTP/HTTPS (80 و 443) استفاده کنید.
• استفاده از WAF یا IPS: در صورت قرارگیری در شبکه سازمانی، از فایروال اپلیکیشن وب (WAF) یا سیستم جلوگیری از نفوذ (IPS) برای فیلتر درخواست‌های POST حاوی پارامترهای غیرعادی مانند filename طولانی استفاده کنید.
• فعال‌سازی نظارت و هشدار: لاگ‌های دستگاه را به یک سرور Syslog خارجی ارسال کنید و برای درخواست‌های POST غیرمعمول یا تلاش‌های مکرر آپلود، هشدار تنظیم نمایید.

اجرای این اقدامات به‌ویژه مسدودسازی دسترسی WAN و محدودکردن مسیر آسیب پذیری می‌تواند ریسک بهره‌برداری موفق از این آسیب‌پذیری را به‌شدت کاهش دهد و تا زمان انتشار پچ رسمی، بالاترین سطح امنیت ممکن را برای شبکه فراهم کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

ورودی اولیه از طریق ارسال یک درخواست HTTP POST به مسیر ‎/cgi-bin/upload.cgi‎ پس از احراز هویت سطح پایین انجام می‌شود. پارامتر کنترل‌نشده filename عملاً یک نقطه ورود مستقیم برای وارد کردن payload های مخرب است و مهاجم را قادر می‌کند بدون نیاز به تعامل کاربر جریان حمله را آغاز کند. ا

Execution (TA0002)

اجرای کد زمانی رخ می‌دهد که مقدار filename مستقیماً وارد فراخوانی‌های سیستم‌عامل می‌شود و دستگاه دستور تزریق‌شده را بدون هیچ اعتبارسنجی اجرا می‌کند؛ این مکانیسم به مهاجم اجازه می‌دهد BusyBox، telnetd یا هر شل دلخواه را فعال کند.

Discovery (TA0007)

مهاجم پس از دسترسی به شل می‌تواند با ابزارهای داخلی BusyBox ساختار فایل‌سیستم، پیکربندی‌ها، فرآیندها و مسیرهای حساس را شناسایی کند تا مسیر حرکت بعدی و اهداف ارزشمند را تعیین کند.

Privilege Escalation (TA0004)

در بسیاری از مدل‌های Linksys، سرویس‌های داخلی با سطح دسترسی بالا اجرا می‌شوند؛ بنابراین اجرای فرمان از طریق upload.cgi می‌تواند به اجرای کد با سطح ریشه منجر شود.

Collection (TA0009)

پس از دستیابی به شل، مهاجم می‌تواند فایل‌های پیکربندی، اطلاعات شبکه، رمزهای ذخیره‌شده و لاگ‌ها را جمع‌آوری کند. جلوگیری با مسدودسازی مسیر CGI، محدودسازی ترافیک مدیریتی و ذخیره لاگ‌ها روی مقصد خارجی قابل‌پایش انجام می‌شود.

Exfiltration (TA0010)

با داشتن RCE، مهاجم قادر است داده‌ها را از طریق کانال‌های ساده مانند درخواست‌های HTTP، سرویس telnetd یا ارتباطات outbound منتقل کند.

Defense Evasion (TA0005)

اجرای فرمان از طریق filename امکان ایجاد فایل، تغییر تنظیمات، فعال‌سازی سرویس‌های مخفی و پنهان‌سازی ردپا را فراهم می‌کند.

Lateral Movement (TA0008)

پس از دستیابی به شل، مهاجم می‌تواند به سایر دستگاه‌های LAN حمله کند یا از روتر به عنوان pivot برای اسکن داخلی استفاده کند.

Impact (TA0040)

اجرای فرمان از راه دور می‌تواند منجر به راه‌اندازی سرویس‌های غیرمجاز، تغییر پیکربندی، قطع سرویس، تخریب فایل‌ها یا ایجاد backdoor دائمی روی روتر شود. اثر نهایی شامل نقض محرمانگی، یکپارچگی و دسترس‌پذیری شبکه است.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9575
2. https://www.cvedetails.com/cve/CVE-2025-9575/
3. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9575
4. https://vuldb.com/?submit.634840
5. https://vuldb.com/?id.321689
6. https://vuldb.com/?ctiid.321689
7. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_13/13.md
8. https://github.com/wudipjq/my_vuln/blob/main/Linksys/vuln_13/13.md#poc
9. https://nvd.nist.gov/vuln/detail/CVE-2025-9575
10. https://cwe.mitre.org/data/definitions/78.html
11. https://cwe.mitre.org/data/definitions/77.html